DDoS-атаки с NTP-усилением: что это значит для бизнеса

Бизнес

В США забили тревогу по поводу нового типа DDoS-атак, использующих публичные серверы точного времени (протокол NTP) для усиления мусорного трафика. Американская группа быстрого реагирования на компьютерные инциденты (US-CERT) даже опубликовала по этому поводу специализированный бюллетень для корпоративных пользователей, поскольку именно на них в подавляющем большинстве случаев DDoS-атаки и направлены.

NTP-серверы используются в качестве «посредников» для усиления DDoS-трафика. В принципе, это не слишком новое явление: злоумышленники уже несколько лет используют сетевые протоколы SNMP, CHARGEN, да и NTP тоже в качестве «плеча» для усиления эффекта.

Такие атаки обычно проводятся с подменой IP-адреса отправителя запроса и предполагают наличие посредников — веб-серверов или сетевого подключенного оборудования: принтеров, видеокамер, маршрутизаторов, хабов, сенсоров и других. Злоумышленники используют уязвимости в стандартных сетевых протоколах, превращая поддерживающие их устройства в послушное орудие DDoS-атак: те перенаправляют (отражают) запросы от атакующего на мишень.

Таким образом, злоумышленники убивают сразу двух зайцев: маскируют реальный источник угрозы (жертва видит только трафик, исходящий от посредников) и усиливают паразитный трафик. Большое количество посреднических хостов способно в ответ на небольшой, тщательно продуманный запрос создать внушительный поток ответов, направленных на мишень. Простой NTP-протокол, работающий на базе UDP, создает возможность для усиления атаки, поскольку допускает отклик на пакеты с подложным IP-адресом источника. А выполнение как минимум одной из встроенных команд, конкретнее, MON_GETLIST, возвращает длинный ответ на короткий запрос. Фактически возможно усиление в десятки, а то и в сотни раз.

:Мы в очередной раз наблюдаем, как злоумышленники находят способы навредить, неординарным способом используя общераспространённые инструменты.

Эффективность атак подобного рода дополнительно увеличивается в силу того, что ответы содержат допустимые данные, исходящие с легальных серверов.

Атаки с NTP-плечом до недавнего времени были относительной редкостью, но в конце прошлого года их количество внезапно подскочило. В декабре и январе атакам с NTP-плечом подверглись несколько популярных игровых сервисов — EA.com, Battle.Net, League of Legends, при этом пиковая мощность мусорного потока достигала 100 Гбит/с.

Ещё одна проблема заключается в том, что NTP — протокол, который обычно настраивают один раз. Сервис NTP довольно редко обновляется, так что злоумышленники легко могут отыскать множество уязвимых NTP-серверов в Сети и использовать по своему желанию.

DDoS-атаки — инструмент, который злоумышленники регулярно применяют против различных крупных и не очень ресурсов. Часто это делается из хулиганских побуждений, но нередко — в дополнение к попыткам вымогательства, с целью нанести прямой урон бизнесу или в порядке прикрытия попыток проникновения. Впрочем, вне зависимости от целей злоумышленников, DDoS-атаки — это всегда серьёзные проблемы, решить которые бывает предельно сложно.

От NTP-атак, в принципе, застраховаться можно. Во-первых, рекомендуется всё-таки, скрепя сердце, обновить и перенастроить NTP: в версии 4.2.7p26 поддержка команды monlist ограничена. Её выполнение можно запретить полностью, внешний доступ к сервису — также ограничить.

На сайте Open NTP Project также можно проверить наличие «уязвимости» в собственной инфраструктуре. И рекомендуется сделать это самостоятельно до того, как злоумышленники начнут «работать» по вашей компании.

Подобного рода атаки, в сущности, представляют собой очередной «тревожный звонок» для корпоративных пользователей и IT-департаментов: мы в очередной раз наблюдаем, как злоумышленники находят способы навредить, неординарным способом используя общераспространённые инструменты, в данном случае протокол, который обычно настраивают один раз и забывают. Как видим, для обеспечения безопасности IT-инфраструктуры ничто нельзя обходить вниманием.